El virus invencible de los ordenadores

Si se aplica el término virus informático a un programa capaz de multiplicarse y hacer enfermar a un ordenador, la familia de virus de los ransomware sería, salvando las evidentes diferencias entre hombre y máquina, el ébola de la informática. Sin que hasta el momento exista una vacunas para detener la epidemia, la comunidad informática se siente impotente para detener la expansión de estos virus y los intentos de extorsionar con ellos a usuarios de todo el mundo.

El ransomware es un tipo de virus, con muchas variantes, que encripta la información que un usuario tiene en su ordenador y por la que el delincuente pide el pago de una cantidad de dinero a cambio de proporcionar el código que permite recuperarla. El virus en sí se puede eliminar con un antivirus o determinadas herramientas on line. El problema está precisamente en recuperar la información encriptada, que va desde los correos electrónicos, las fotos, los documentos, las bases de datos y la contabilidad a las copias de seguridad, si alguien ha tenido la mala idea de dejarlas en la misma máquina.

Un par de años después de su detección, los expertos no han encontrado todavía una solución fiable y universal ni un método para recuperar la información encriptada más allá de realizar el pago para obtener una clave que permita revertir el daño causado, sino tan solo parches puntuales que se pueden aplicar a algunos archivos. Así lo evidenciaban numerosos expertos reunidos en el congreso eCrime 2015, que se celebró la semana pasada en el CaixaForum Barcelona y que organizaba el Antiphishing Working Group, la principal organización mundial dedicada a combatir el cibercrimen.

La Guardia Civil tan solo confirma que tiene varias investigaciones en curso, igual que los Mossos y el FBI, pero evita dar detalles. Fuentes policiales admiten que no han hallado aún cómo combatirlo, más allá de la caída de la red de botnets (ordenadores que no controla el usuario habitual) Gameover Zeus, en junio del 2014, y la detención de algunos de sus autores, una banda ucraniana, en España. «Es una hidra, porque cuando detienen a unos, salen otros. Y como hay gente que paga por intentar recuperar su información, es un negocio tan lucrativo que siempre hay alguien dispuesto a seguirlo. Hay versiones en las que se puede recuperar la información, pero en otras no hay manera», explica Vicente Díaz, analista jefe de Kaspersky Labs.

NEGOCIO LUCRATIVO / Porque los delincuentes piden rescates que pueden llegar a varios miles de euros o dólares. Aunque en las primeras versiones daban facilidades y admitían incluso pagos con Visa o Paypal, la pista del dinero les ha llevado a tomar precauciones y a preferir el pago en bitcoins, una moneda virtual pensada para realizar pagos sin control de un organismo central. «Es difícil de pillar porque bitcoin está pensada para usarse de modo anónimo, y suelen exigir el pago a través de la deep web (internet oscura), que esconde la dirección real de quien se conecta», señala un investigador policial.

Los ransomware, como la mayoría de los virus dañinos, han conocido un montón de variantes porque delincuentes y empresas de seguridad mantienen la clásica pugna entre infectar ordenadores y evitarlo. Comenzaron por el llamado virus de la policía, cuyos autores fueron detenidos en el 2013, que enviaba un mensaje, obviamente falso, advirtiendo de que la policía había bloqueado el ordenador con una excusa y pedía el pago de una multa a cambio. En la versión anglosajona, el pantallazo era del FBI. Pero hace tiempo que los delincuentes decidieron quitarse la careta y ya es el propio Cryptolocker, una de las variantes más conocidas, quien firma el secuestro con una imagen en todo el marco del navegador en la que se incluyen las condiciones e instrucciones para el pago.

«No podemos decirle a alguien que pague por recuperar una información, pero la encriptación puede llegar a 1024 bits. Un ordenador normal necesitaría años de cálculo para descifrar eso», explica un investigador.  Ceder al chantaje tampoco garantiza nada porque a veces los delincuentes piden un segundo pago, para continuar la extorsión o porque, especulan los investigadores, ni ellos tienen la clave a mano.

Además, como siempre, hay idas y vueltas. Este mes han aparecido dos nuevas variantes, una del antiguo Cryptowall y otra llamada TeslaCrypt. Las diferencias son técnicas (aprovechan una u otra vulnerabilidad del sistema) pero los daños son casi idénticos. La ultimísima versión, Locker, también recupera una función clásica en el mundo de los virus ya en desuso: se activa en una determinada fecha, como aquellos antiguos Viernes 13 y similares.

RESTITUIR LA COPIA / La solución, insisten los expertos, es mantener actualizadas las copias de seguridad para, en caso de infección, poder restituir la información encriptada. Porque de momento no hay mucho más.

De poco ha servido hasta ahora que el FBI pusiera precio a la cabeza del considerado responsable de la red Gameover Zeus, ya desmantelada. Tres millones de dólares por Evgeni Mijailovic Bogachev, que tiene su foto entre las de 0los criminales más buscados por el Gobierno estadounidense, que promete una recompensa por su captura de tres millones de dólares, la sexta parte de lo que ofrecía por Osama bin Laden.